PCPJack использовала 230 облачных Linux-серверов как SMTP-реле

Hunt.io обнаружила набор инструментов, который превращал скомпрометированные Linux-хосты в AWS, Google Cloud и Microsoft Azure в скрытую сеть SMTP-прокси. Связь с PCPJack исследователи оценивают осторожно: главным основанием является общий C2-адрес, ранее отнесенный SentinelOne к этой кампании.

Компания Hunt.io сообщила, что нашла на сервере управления 213.136.80[.]73 два открытых каталога без аутентификации. В них находились исходный код, скомпилированные бинарные файлы, журналы развертывания, инструменты сканирования и эксплуатации, а также конфигурация Sliver C2. Этот адрес ранее фигурировал в исследовании SentinelOne как инфраструктура PCPJack — фреймворка для кражи облачных учетных данных и распространения по скомпрометированным Linux-серверам.

По данным Hunt.io, восстановленные state-файлы показывают 230 успешных загрузок и запусков в рамках одной волны развертывания в марте 2026 года. Среди видимых жертв были облачные Linux-серверы и контейнерные окружения, включая AWS EC2, managed instance group в Google Cloud и виртуальные машины Azure. Исследователи описывают кампанию как оппортунистическую, а не географически нацеленную.

Найденный инструментарий использовал Sliver для управления beacons и Chisel для создания обратных SOCKS5-туннелей. На стороне жертвы бинарный файл сохранялся как скрытый файл, в том числе в /var/tmp/.xs, а закрепление выполнялось через systemd-службу xsync или cron-задачу. В одном из вариантов deployer-скрипта перед развертыванием проверялся исходящий доступ к smtp.gmail[.]com:587 — хосты без такой возможности пропускались.

Отдельный демон chisel_verifier.py каждые 60 секунд проверял активные Chisel-туннели на пригодность для SMTP-реле, дополнял список прокси выходным IP-адресом, страной и ASN, а затем каждые пять минут синхронизировал его по SCP на сервер 38.242.204[.]245. Этот downstream-сервер во время анализа был недоступен, поэтому конечное назначение сети не подтверждено; Hunt.io указывает на готовую инфраструктуру для массовой доставки почты, которая могла использоваться для спама, фишинга или других злоупотреблений.

Администраторам Linux-нагрузок в публичных облаках стоит сверить окружения с опубликованными индикаторами: обращения к 213.136.80[.]73:9000, наличие /var/tmp/.xs, /etc/systemd/system/xsync.service, cron-маркера # xsync и подозрительных процессов Chisel с обратными SOCKS5-туннелями.